Presentation is loading. Please wait.

Presentation is loading. Please wait.

Dakuo’s Lecture.

Published by보희 해 Modified 6년 전

Similar presentations

Presentation on theme: "Dakuo’s Lecture."— Presentation transcript:

1 Dakuo’s Lecture

2 EPROCESS Struct 를 이용한 Process Hide
김종민(dakuo) / 회장

3 Contents Ⅰ. Idea Ⅱ. EPROCESS Struct Ⅲ. Source Ⅳ. Execute

4 Ⅰ. Idea 프로세스 목록확인 : taskmgr (작업관리자) 프로세스 목록에서 타겟 프로세스를 지운다.
Windows는 프로세스 구조체로 프로세스를 관리 (EPROCESS Struct) 프로세스들은 Double Linked List 로 이루어짐 타겟 프로세스의 리스트를 연결에서 끊는다. Hide Success

5 Ⅰ. Idea

6 Ⅰ. Idea

7 Ⅰ. Idea

8 Ⅱ. EPROCESS Struct EPROCESS Struct Windows 에서는 EPROCESS 구조체를
사용하여 프로세스를 표현 프로세스 관리에 유용한 멤버 변수를 포함 Kernel 영역에 존재 WinDbg 에서 dt _eprocess 명령으로 확인 가능

9 Ⅱ. EPROCESS Struct

10 Ⅱ. EPROCESS Struct typedef struct _EPROCESS { KPROCESS Pcb;
EX_PUSH_LOCK ProcessLock; LARGE_INTEGER CreateTime; LARGE_INTEGER ExitTime; EX_RUNDOWN_REF RundownProtect; PVOID UniqueProcessId; LIST_ENTRY ActiveProcessLinks; // 프로세스 앞, 뒤에 연결된 프로세스 리스트 주소 // Flink : 다음 프로세스 리스트 주소 // Blink : 이전 프로세스 리스트 주소 ULONG QuotaUsage[3]; ……………….. ALPC_PROCESS_CONTEXT AlpcContext; } EPROCESS, *PEPROCESS;

11 Ⅱ. EPROCESS Struct

12 Ⅱ. EPROCESS Struct Procexp.exe ps_hide.exe notepad.exe

13 Ⅲ. Source 소스의 흐름 현재 프로세스 목록을 출력 숨기고 싶은 프로세스의 PID 를 입력
OpenProcess() 로 해당 프로세스 오픈 ZwQuerySystemInformation() 으로 EPROCESS 구조체 주소 값 획득 AdjustTokenPrivileges() 으로 가상 메모리 R/W 권한 획득 ZwSystemDebugControl() 으로 Flink, Blink 값 변경

14 Ⅲ. Source

15 Ⅲ. Source Struct OpenProcess() ZwQuerySystemInformation()
소스의 구성 Struct OpenProcess() ZwQuerySystemInformation() AdjustTokenPrivileges() ZwSystemDebugControl()

16 1. Struct

17 2. OpenProcess() 프로세스를 열어야만 프로세스 핸들이 시스템에 로드된다. OpenProcess( DWORD dwDesiredAccess, // access flag BOOL bInheritHandle, // handle inheritance flag DWORD dwProcessId // Process identifier ); OpenProcess(PROCESS_QUERY_INFORMATION, 0, dwProcessId);

18 3. ZwQuerySystemInformation()
시스템에 로드된 모든 핸들의 정보를 조사하여 EPROCESS 구조체의 주소를 얻는다.

19 3. ZwQuerySystemInformation()

20 4. AdjustTokenPrivileges()
가상 메모리에 R/W 할 수 있는 권한을 얻는다.

21 5. ZwSystemDebugControl()
가상 메모리에 접근하여 값을 변경한다.

22 5. ZwSystemDebugControl()

23 6. Final Flink, Blink 값 변경.

24 Ⅳ. Execute

25 Ⅳ. Execute

26 Ⅳ. Execute

27 Ⅳ. Execute

28 + Bonus 마찬가지 방법으로 숨겼던 프로세스를 보이게 할 수 있다.

29 + Bonus

30 + Bonus

31 + Bonus

32 Environment 본 문서는 XP 환경에서 작성하였습니다. 문서작성일 :

33

34

Download ppt "Dakuo’s Lecture."

Similar presentations

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.
5 조 - 음악학과 2005062043 이수영 5 조 - 음악학과 2005062043 이수영 사회복지학과 2006017004 김원미 사회복지학과 2006017004 김원미 2006017014 신민지 2006017014 신민지 2006017023 이정원 2006017023.

5 조 - 음악학과 이수영 5 조 - 음악학과 이수영 사회복지학과 김원미 사회복지학과 김원미 신민지 신민지 이정원
㈜ 금산산업 2005. 5. 회사 소개서. 회사 소개 회사 개요 회사 연혁 공장약도 제품 소개 원료 관리 필렛 작업 염 ( 소금 ) 침지 공정 급속동결 및 진공 포장 거래처 LIST 거래처별 매출 실적 공장사진 목 차.

㈜ 금산산업 회사 소개서. 회사 소개 회사 개요 회사 연혁 공장약도 제품 소개 원료 관리 필렛 작업 염 ( 소금 ) 침지 공정 급속동결 및 진공 포장 거래처 LIST 거래처별 매출 실적 공장사진 목 차.
전산시스템 시스템 이용안내 메인 페이지 회원가입 원격시스템. 전산시스템 시스템 이용안내 회원가입 ※ 중요한 정보 : 검사진행문자, 인증키 발송 등.

전산시스템 시스템 이용안내 메인 페이지 회원가입 원격시스템. 전산시스템 시스템 이용안내 회원가입 ※ 중요한 정보 : 검사진행문자, 인증키 발송 등.
일본주식시장의 신 고레가와긴조 투자전략 6 조 안승권. 신문수 발표자 : 신 문 수. 출 생 : 1897 효고현에서 출생 학 력 : 초등학교졸업, 사업가 1992 년 95 세 사망 유일한 자서전 1981 년 스미토모 금속광산 주식매매 200 억엔 벌다⇒ 일본 소득세 납세.

일본주식시장의 신 고레가와긴조 투자전략 6 조 안승권. 신문수 발표자 : 신 문 수. 출 생 : 1897 효고현에서 출생 학 력 : 초등학교졸업, 사업가 1992 년 95 세 사망 유일한 자서전 1981 년 스미토모 금속광산 주식매매 200 억엔 벌다⇒ 일본 소득세 납세.
구조체 : Structure 와 포인터 2. 집합적 변수 생성 가능 structure_declaration ::= struct_specifier declarator_list ; struct_specifier ::= struct tag_name | struct tag_name.

구조체 : Structure 와 포인터 2. 집합적 변수 생성 가능 structure_declaration ::= struct_specifier declarator_list ; struct_specifier ::= struct tag_name | struct tag_name.
Windows 디바이스 드라이버 Update 정 우식 개발부장 ㈜열린기술 내용  드라이버 개발자 입장에서 본 XP  XP DDK Update  64- 비트 이슈  디바이스 설치  USB 드라이버 스택  디버깅 및 기타 도구들.

Windows 디바이스 드라이버 Update 정 우식 개발부장 ㈜열린기술 내용  드라이버 개발자 입장에서 본 XP  XP DDK Update  64- 비트 이슈  디바이스 설치  USB 드라이버 스택  디버깅 및 기타 도구들.
J-Stream part1 (Software streaming service) ▪ 팀명 : Jukdori ▪ 팀원 : 16 th 윤병호 (PL) 15 th 송인규 16 th 김영진.

J-Stream part1 (Software streaming service) ▪ 팀명 : Jukdori ▪ 팀원 : 16 th 윤병호 (PL) 15 th 송인규 16 th 김영진.
Couple Tetris 제안서 맨땅에해딩 (GNU-A3) 06 안대웅, 06 박순응. CONTENTS 1. 프로젝트 정의 및 목적 2. 프로젝트 결과물의 개요 2.1. 프로젝트 결과물의 구조도 2.2. 프로젝트 결과물의 흐름도 2.3. 프로젝트 결과물의 그림 2.4.

Couple Tetris 제안서 맨땅에해딩 (GNU-A3) 06 안대웅, 06 박순응. CONTENTS 1. 프로젝트 정의 및 목적 2. 프로젝트 결과물의 개요 2.1. 프로젝트 결과물의 구조도 2.2. 프로젝트 결과물의 흐름도 2.3. 프로젝트 결과물의 그림 2.4.
능력중심사회 구현을 위한. Contents 사업개요 01 지원내용 02 운영현황 03 01.

능력중심사회 구현을 위한. Contents 사업개요 01 지원내용 02 운영현황
2009개정 중등 국어과 교육과정 울산광역시교육청 교육과정 컨설팅단 : 정일진.

2009개정 중등 국어과 교육과정 울산광역시교육청 교육과정 컨설팅단 : 정일진.
IT 패러다임을 바꾼 디지털 리더 한국대학생IT경영학회 교육팀 차헌영 가장 성공한 IT기업은?

IT 패러다임을 바꾼 디지털 리더 한국대학생IT경영학회 교육팀 차헌영 가장 성공한 IT기업은?
달라지는 노동법 개정 내용 노무법인 正道 잠시나마… 주요 노동관계법 개정내용 3. 마무리 Contents

달라지는 노동법 개정 내용 노무법인 正道 잠시나마… 주요 노동관계법 개정내용 3. 마무리 Contents
경남이의 백제역사문화탐방 진주시청소년수련관.

경남이의 백제역사문화탐방 진주시청소년수련관.
서울시 ‘찾아가는 동 주민센터’ 사업 시행 이후 지역사회의 변화

서울시 ‘찾아가는 동 주민센터’ 사업 시행 이후 지역사회의 변화
Contents 인지세법 개정내용 인지세 적용매입계약Process 수입인지 구매방법 및 증빙방법 - 전자수입인지

Contents 인지세법 개정내용 인지세 적용매입계약Process 수입인지 구매방법 및 증빙방법 - 전자수입인지
Hide Process 2007. 06.

Hide Process
도서관 무선네트워크 사용법 (XP, VISTA)

도서관 무선네트워크 사용법 (XP, VISTA)
But, 성공하려면 과정이 필요합니다. 목표달성을 위해 정해진 기간이 필요~! 어떤 노력을 기울여야 할가요~?

But, 성공하려면 과정이 필요합니다. 목표달성을 위해 정해진 기간이 필요~! 어떤 노력을 기울여야 할가요~?
2016학년도 2학기 수강바구니(수강신청) 안내 매뉴얼

2016학년도 2학기 수강바구니(수강신청) 안내 매뉴얼

Similar presentations

Ads by Google